日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
生成型 AI: すべての CISO が知っておくべきこと
危機管理
新しいテクノロジーは常にセキュリティの状況を変えますが、生成 AI の変革力を持つものはほとんどありません。 ChatGPT のようなプラットフォームが普及し続けるにつれて、CISO は、それがもたらす前例のないサイバーセキュリティ リスクと、それに対処する方法を理解する必要があります。
投稿者: Greg Young 2023 年 6 月 1 日 読了時間: ( 文字数)
フォリオに保存
破壊的イノベーションの「破壊的」な部分は、多くの場合、それがもたらす予期せぬ結果から生まれます。 印刷機はテキストをコピーすることを容易にしましたが、そうすることでヨーロッパの社会的、政治的、経済的、宗教的構造を織り直しました。 人間のモビリティに革命をもたらし、車はコミュニティのデザインを再形成し、郊外と 20 世紀の運転文化を生み出しました。 最近では、ワールド ワイド ウェブにより、人々が互いにつながり、情報にアクセスする方法が完全に変わり、その過程でプライバシー、地政学的境界、言論の自由の問題が再構成されました。
生成 AI は、ChatGPT や Google Bard のような大規模な言語モデルや DALL-E のような画像ジェネレーターにより、これらすべてと同じくらい変革的なものになる準備ができているようで、わずか数か月の間に大きな関心を集めています。
これらのツールが急速に普及していることを考えると、CISO は関連するサイバーセキュリティ リスクと、それらのリスクがこれまでのリスクとどのように根本的に異なるのかを早急に理解する必要があります。
無制限の摂取
企業が生成型 AI の可能性に興奮していると言っても過言ではありません。 ある調査によると、ChatGPT の公開開始からわずか 6 か月後に、企業の 49% がすでに ChatGPT を使用していると回答し、30% が今後使用する予定であると回答し、早期導入者の 93% がさらに使用する予定であると回答しました。
何のために? 文書の作成からコンピューターコードの生成から、顧客サービスのやり取りの実行まで、あらゆる作業を行います。 そしてそれは、これから起こることのほんの表面をなぞったにすぎません。 支持者らは、AI が気候変動などの複雑な問題を解決し、人間の健康を改善するのに役立つと主張しています。たとえば、放射線科のワークフローを加速し、X 線、CT スキャン、MRI の結果をより正確にし、同時に偽陽性を減らして結果を改善することによって実現します。
しかし、新しいテクノロジーには、新たな脆弱性や攻撃手法などのリスクが伴います。 今日、AI を取り巻くさまざまな騒音や混乱の中で、それらのリスクはまだ十分に理解されていません。
生成 AI は何が違うのでしょうか?
機械学習 (ML) と初期の形式の AI は、しばらく前から私たちに存在しています。 現在、自動運転車、株式取引システム、物流ソリューションなどが、ML と AI の組み合わせによって活用されています。 XDR などのセキュリティ ソリューションでは、ML がパターンを特定し、動作のベンチマークを行うことで、異常を検出しやすくします。 AI はウォッチドッグとして機能し、アクティビティを監視し、通常のアクティビティまたは脅威ではないアクティビティがどのようなものかを示す ML 分析に基づいて潜在的な脅威を嗅ぎ分け、必要に応じて自動応答をトリガーします。
しかし、ML とより単純な形式の AI は、最終的には入力されたデータを操作することに限定されます。 生成 AI は、そのアルゴリズムが通常の ML のように必ずしも固定または静的ではないため異なります。多くの場合、学習の一環としてシステムの過去の「経験」に基づいて構築され、まったく新しい情報を作成できるように常に進化しています。
これまで、悪意のある攻撃者は、その出力が悪用する価値が特に高くないため、ML やより限定的な形式の AI を主に避けてきました。 しかし、ML のデータ処理能力と生成 AI の創造性を組み合わせることで、はるかに魅力的な攻撃ツールが生まれます。
セキュリティリスク: 重要な質問
本当は誰と話しているのですか?
英国の数学者でコンピューター科学者のアラン・チューリングは、1950 年代に、十分に高度なコンピューターを使って人間が自然言語で会話できるかどうかを確認するテストを考案しました。 Google の LaMDA AI システムは 2022 年にそのテストに合格し、生成 AI に関する主要なセキュリティ上の懸念の 1 つ、つまり人間のコミュニケーションを模倣する能力が浮き彫りになりました。
この機能により、これまでスペルミスが多い偽のメッセージに依存していたフィッシング詐欺の強力なツールになります。 一方、AI が作成したフィッシング テキストや電子メールは洗練されており、エラーがなく、チームに指示を出した会社 CEO などの既知の送信者をエミュレートすることもできます。 ディープフェイク技術はこれをさらに一歩進め、人々の顔や声を模倣し、決して起こらなかった「シーン」全体を作成する能力を備えています。
生成 AI は、これを 1 対 1 ベースで行うだけでなく、大規模に行うこともでき、最大限の効率と浸透のチャンスを得るために同時に多くの異なるユーザーと対話します。 そして、これらのフィッシング詐欺の背後には、サイバー攻撃に使用するために AI プログラムによって生成された悪意のあるコードも存在する可能性があります。
あなたの情報の所有者は誰ですか?
多くの企業は、企業データ、特に機密情報、競争上の秘密、またはプライバシー法で管理される記録への影響を十分に考慮せずに、AI チャットボットの流行に乗っています。 実際、医療予約をスケジュールするために提供される個人の健康情報で構成されているか、マーケティング資料を作成するためにチャットボットを通じて実行される企業独自の情報で構成されているかにかかわらず、パブリック AI プラットフォームに入力される機密情報に対する明確な保護は現時点ではありません。
パブリック AI チャットボットへの入力はプラットフォームのエクスペリエンスの一部となり、将来のトレーニングに使用できる可能性があります。 たとえそのトレーニングが人間によって司会進行され、プライバシーが保護されていたとしても、会話は最初のやりとりを超えて「存続」する可能性が依然としてあります。つまり、企業はデータが共有されると完全に制御できないことになります。
生成 AI の言うことを信頼できますか?
AI チャットボットがいわゆる幻覚の影響を受けやすく、誤った情報を生成することは有名です。 ニューヨーク・タイムズ紙の記者らは、ChatGPTの論文が初めて人工知能について報じたのはいつだったか尋ね、プラットフォームはタイトルも含めて存在しなかった1956年の記事を思い起こさせた。 AI の出力を信じて取得し、顧客、パートナー、または一般の人々と共有したり、それに基づいてビジネス戦略を構築したりすることは、明らかに企業の戦略的および評判に関わるリスクとなります。
同様に懸念されるのは、生成型 AI が誤った情報に影響されやすいことです。 すべての AI プラットフォームはデータセットでトレーニングされるため、それらのデータセットの整合性が非常に重要になります。 開発者は、ライブのリアルタイム インターネットを継続的に更新されるデータセットとして使用する方向にますます移行しており、AI プログラムは悪意のない間違い、または AI の出力を歪めるために悪意を持って埋め込まれた悪い情報にさらされる危険にさらされており、安全性とセキュリティのリスクが生じる可能性があります。
生成的な AI のセキュリティ リスクに対して何ができるでしょうか?
多くのセキュリティ企業は、AI と戦うために AI を使用することを計画しており、AI が生成するフィッシング詐欺、ディープ フェイク、その他の偽情報を認識するソフトウェアを開発しています。 こういったツールは今後ますます重要になっていきます。
それでも、特に情報を受動的に保護し続ける従来の情報サイロが生成型 AI によって侵食される可能性があるため、企業は自らの警戒を払う必要があります。 クラウドは、企業に分散データ責任とオープン システムの責任に対処する予行演習のようなものを提供しましたが、生成 AI は新たなレベルの複雑さを導入し、技術ツールと情報に基づいたポリシーを組み合わせて対処する必要があります。
たとえば、これまで顧客の支払いカード情報 (PCI) を他のデータセットから分離して保管してきた企業を想像してください。 企業内の誰かがパブリック AI プラットフォームを使用して、顧客の過去の支出パターンに基づいて売上増加の機会を特定した場合、その PCI データが AI ナレッジ ベースの一部となり、他の場所に出現する可能性があります。
企業が自社を守るために講じることができる最も重要な手順の 1 つは、AI ツールを所有していない、または AI ツールの使用を許可していないからリスクにさらされていない、という考えを避けることです。 従業員、パートナー、顧客は皆、パブリック AI プラットフォームを使用しており、意図的または無意識的に、企業情報を侵害する可能性のある情報をプラットフォームに提供している可能性があります。
生成型 AI がサイバーセキュリティの観点から多くの考慮すべき点をもたらしていることは明らかであり、私たちはこの新しいテクノロジーがどのような方向に向かうのか、まだ出発点に立ったばかりです。 次回のブログ投稿では、組織が自らを守るために何ができるかを詳しく見ていきます。
次のステップ
トレンドマイクロの生成 AI に関するソート リーダーシップについて詳しくは、次のリソースをご覧ください。
グレッグ・ヤング
トレンドマイクロ社サイバーセキュリティ担当副社長